桃園市復興區公所資訊安全政策
一、目的:
桃園市復興區公所(以下簡稱本公所)為強化資訊安全,確保本公所各項資料、電腦設備、系統存取及網站等各項資訊資產之可用性、完整性及機密性,避免因人為疏忽、蓄意或天然災害等因素,導致資料遭受不當使用、竄改、破壞或外洩,影響本公所公務運作,特依據「行政院及所屬各機關資訊安全管理要點」及「桃園市政府資訊安全管理要點」制定本政策,供本公所全體人員(含外包廠商)遵循。
二、目標:
保障資訊之機密性及防止非法存取、確保資產之可用性及完整性與提升同仁資訊安全意識。
三、適用範圍:
本政策適用本公所公務人員、約聘僱人員、工友、技工、清潔隊員、臨時人員、委外廠商人員、工讀生及本公所管轄之相關資訊資產、網路設備及資訊系統。
四、組織:
本公所為確保資訊安全管理系統能有效運作與實踐,成立成立跨課室資訊安全小組,由區長擔任召集人,秘書擔任副召集人,秘書室室主任擔任執行秘書與各課室主管組成之,負責資訊安全管理系統之建立、維持與改進,規劃資訊安全責任與進行有效之資源管理。
其中資訊安全政策、計畫及技術規範之研議、建置及評估等事項,由秘書室負責辦理;資料及資訊系統之安全需求研議、使用管理及保護等事項,由業務單位負責辦理;資訊機密維護及稽核使用管理事項,由政風單位會同相關單位負責辦理。
五、資訊安全維護措施:
(一)人員管理及教育訓練:
1、對資訊相關職務及工作,應進行安全評估,於人員進用前嚴格篩選,於工作任務指派時,審慎評估其適任性,簽署保密協定,並進行必要之考核。訂定資訊作業內部之代理制度,以確保系統之安全、順利運作。
2、定期辦理資訊安全教育訓練,強化本公所全體人員資訊安全認知,一般使用者及主管一年至少須接受3小時資安宣導課程並通過課程評量。另配合資安電子報之發布,不定期向各單位宣導最新資安訊息,以提升本公所資訊安全水準。
(二)個人電腦使用管理:要求全體同仁使用電腦操作各項系統時,務必依下列規定辦理:
1、登入個人電腦及各項系統應設定並定期更換密碼,且密碼長度至少需要 8 位數,並包含大寫英文字、小寫英文字、數字及特殊符號等四種元素至少需要三種,以符資訊安全。
2、電腦上加裝的防毒軟體應定期更新,並不得任意移除。
3、電腦應設置螢幕保護程式並加設密碼。
4、不得安裝非公務使用軟體及無授權之盜版軟體,且不得下載無智慧財產權之影像及音樂。
6、個資文件請加密保護,不得置於電腦桌面及網路資料夾。
7、每日下班前,請注意保持桌面淨空,並確認電腦主機關閉。
(三)電腦系統安全管理:建立各項系統使用者註冊管理制度,加強使用者通行密碼管理,並要求使用者定期更新定期進行系統資料備份作業。
(四)網路安全管理:
1、為防止駭客入侵、資料外洩,本公所設置硬體防火牆,並針對業務需求,設定不同網路連接路徑,以強化網路使用安全性。
2、利用網際網路及全球資訊網公布及流通資訊,應實施資料安全等級評估,機密性、敏感性及未經當事人同意之個人隱私資料及文件,不得上網公布。
3、電子郵件使用規範依「桃園市政府網路相關資使用規範」規定辦理。
(五)網站使用安全:為確保公眾使用本公所網站的安全性,同時避免網站內容遭到竄改或破壞,本公所除設置防火牆外,也定期進行備份作業,並於網站上揭示隱私權保護政策及資訊安全宣告。
(六)資訊委外作業管理: 本公所辦理各項資訊業務委外作業,應於事前研提資訊安全需求,明定廠商之資訊安全責任及保密規定,並列入契約。
(七)遠端連線處理:對系統服務廠商以遠端登入方式進行系統維修作業,應加強安全控管,並填寫遠端連線維護紀錄單,課其相關安全保密責任。
(八)資安事故處理:本公所發生資安事件時,依「桃園市政府(各機關)資通安全事件通報作業說明」規定至通報應變網站辦理通報作業,並於事件處理結束後,進行結案作業。
六、系統存取控制:
(一)訂定系統存取政策及授權規定,並以書面、電子或其他方式告知員工及使用者之相關權限及責任。
(二)離(休)職人員,應立即取消各項資訊資源之所有權限,並列入離(休)職之必要手續。人員職務調整及調動,應依系統存取授權規定,限期調整其權限。
(三)建立系統使用者註冊管理制度,加強使用者通行密碼管理,使用者通行密碼應定期更新。
七、資訊資產安全管理:
(一)建立與資訊系統有關資訊資產目錄,訂定資訊資產項目、擁有者及安全等級分類等。
(二)依據國家機密保護、個人資料保護及政府資訊公開等相關法規,建立資訊安全等級之分類標準,以及相對應保護措施。
(三)已列入安全等級分類之資訊及系統輸出資料,應標示適當安全等級以利使用者遵循。
八、資訊安全稽核:
由政風單位會同秘書室資訊人員或相關稽核人員進行定期或不定期之資訊安全稽核。
九、政策修訂:
本政策倘有規範不足之處,依桃園市政府資訊安全管理要點辦理,另本政策應每年定期評估,並配合最新法令、業務調整及發展現況等隨時進行修訂,本政策經 區長核定後實施。